Quali misure di sicurezza dovrebbero essere prese quando si esegue un server Web Linux fuori dal nostro ufficio?

Naviga le tue risposte
11

Sono interessato a gestire il server Web della nostra azienda dal nostro ufficio locale. L'ufficio fa uso di condivisione di file e dispositivi NAS, tra gli altri protocolli di ufficio comuni. Gli scenari peggiori che ho immaginato sarebbero quelli che intercettano le e-mail aziendali, eseguono tracce di pacchetti, ecc. Voglio prendere le precauzioni necessarie per garantire che sia più difficile per qualcuno malintenzionato accedere alla nostra rete interna tramite il server web o ascoltare il traffico in uscita se viene reso noto l'IP dedicato della nostra azienda. Ecco alcune delle cose che sto considerando:

  • Disabilitazione dell'accesso alle porte SSH / FTP dall'esterno della nostra rete.
  • Modifica delle porte predefinite (ad esempio cambiando le porte predefinite HTTP / HTTPS / SSH / FTP)
  • Implementazione delle regole del firewall sul server Web stesso
  • Limitazione della condivisione e dell'accesso alla rete interna su questo server Linux in modo che sia più difficile comunicare con altri computer sulla rete

C'è qualcos'altro che si distingue? Alcune pratiche di sicurezza comuni che dovrei rispettare? Grazie in anticipo.

    
posta sparecycle 21.10.2015 - 17:47
fonte

3 risposte

14

A meno che tu non abbia una buona ragione per farlo, è probabile che scoprirai che questo non solo introduce potenziali rischi per l'infrastruttura del tuo sito e ufficio, ma fornisce anche un'esperienza negativa agli utenti del sito web.

Per lo meno, dovresti utilizzare un firewall per eliminare tutto il traffico verso porte inattese (probabilmente 80 e 443, a seconda se usi HTTPS o meno), e assicurati che il sistema del server web sia isolato da altri computer e reti dell'ufficio .

La modifica delle porte HTTP e HTTPS predefinite causerà grattacapi in relazione agli utenti che devono specificare una porta per connettersi al tuo sito Web e fornisce una protezione molto limitata per qualsiasi altro servizio (richiede pochi minuti per eseguire la scansione di tutti i possibili porte su un dato indirizzo IP - se qualcuno sta guardando il tuo server, troveranno che SSH era in esecuzione nel 2020 piuttosto che 22).

Dovresti anche considerare in che modo la tua rete potrebbe essere influenzata da attacchi denial-of-service, se stai condividendo la connessione internet con il tuo server web. Se non si dispone di un isolamento completo tra il server Web e il resto della rete, sarebbe probabilmente anche possibile che un determinato utente malintenzionato ruoti dal proprio server Web attacchi altri sistemi, che probabilmente non sono indurito per l'attacco in questo modo.

Sarebbe anche importante mantenere il server Web aggiornato con le patch di sicurezza più recenti, dal momento che l'impatto di un attacco potrebbe potenzialmente estendersi oltre il solo server.

D'altro canto, se si ospita il sito tramite un provider di hosting gestito, disporranno di larghezza di banda dedicata, sistemi firewall per ridurre al minimo le connessioni tra server, potrebbe installare patch di sicurezza man mano che vengono rilasciate e, a seconda del provider, può gestire backup di base e procedure di caduta.

Ci sono pochissime ragioni per le piccole e medie imprese di auto-ospitare, quindi qualsiasi decisione di farlo dovrebbe essere presa solo se ci sono ragioni specifiche che non possono essere superate in altri modi.

    
risposta data 21.10.2015 - 18:21
fonte
5

Sono sorpreso che le altre risposte non abbiano affrontato i più basilari concetti di sicurezza relativi a siti Web e reti aziendali: DMZ

Il concetto è che si posiziona il proprio server web sul proprio segmento di rete lontano dalla LAN aziendale. Questo può essere fatto tramite VLAN o tramite routing cablato. Anche queste connessioni tra la LAN dell'ufficio e la DMZ dovrebbero essere disattivate. Il firewall dovrebbe consentire solo porte necessarie specifiche per comunicare tra i sistemi. Ciò non dovrebbe includere il piacere di avere cose come essere in grado di SSH dal server web.

L'obiettivo è pensare se hai accesso al server web, come potresti raggiungere la tua LAN dell'ufficio? Se riesci a pensare a modi che consentano l'accesso in ufficio dalla DMZ, dovresti collegarli usando il firewall.

    
risposta data 21.10.2015 - 20:13
fonte
1

In generale, suggerirei di avere sotto i dispositivi per avere una sicurezza migliore 1. IPS 2. Protezione antivirus 3. Firewall

IPS(IntrusuionPreventionSystem)perrilevaretrafficosospettobasatosufirmedipattern...

CisonoalcuniprodottiopensourcebasatisuLinuxdisponibiliinIPS/IDSchepuoiconsiderarecomeSuricata,Snort...Daiun'occhiataaquestolinkpercapiremeglio

link

Ci sono alcuni firewall Open Source che puoi costruire come PFSense che permetteranno / bloccherà i pacchetti che entrano / escono dalla tua rete in base alle regole configurate. Ci sono molte più caratteristiche tecniche se usi un firewall che puoi usare per una maggiore sicurezza ..

Se cerchi dispositivi di sicurezza che ne valgano il costo, puoi utilizzare i prodotti di sicurezza UTC Checkpoint o Palo-Alto. Puoi andare per i modelli base in caso di piccoli uffici ..

L'altro suggerimento sarebbe quello di utilizzare il traffico SSL (https anziché http) per proteggere il traffico per sessione .. Usa SFTP anziché FTP .. Usa SSH invece di Telnet. Usa VPN per connettere il tuo server da casa a Internet invece di esporre il server direttamente a Internet sulla porta del desktop remoto 3389 ..

    
risposta data 21.10.2015 - 18:37
fonte

Leggi altre domande sui tag

TLS_RSA_WITH_3DES_EDE_CBC_SHA riportato come 112 bit Quali sono i nomi di dominio bloccati tecnicamente?